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I. Einleitung 

A. Bezug 

„RFID“ ist die Abkürzung für „Radiofrequenz-Identifika- 
tion“. Unter „RFID-Technologie“ versteht man Verfahren 
zur kontaktlosen Identifizierung von Objekten oder Per- 
sonen per Funk. RFID-Systeme bestehen aus zwei Kom- 
ponenten: Einem elektronischen Mikrochip (sog. „Tag“) 
mit Antenne, auf dem Daten gespeichert werden können, 
und einem Lesegerät, das die gespeicherten Daten erfasst 
und in eine Datenbank überträgt. 

Der vorliegende Bericht des Bundesministeriums des In- 
nern bezieht sich auf die Entschließung des 16. Deutschen 
Bundestages vom 29. März 2007 (Plenarprotokoll 16/91, 
S. 9248 i. V. m. Bundestagsdrucksache 16/4882) zum 
20. Tätigkeitsbericht des Bundesbeauftragten für den Da- 
tenschutz und die Informationsfreiheit (Bundestagsdruck- 
sache 15/5252), in der die Bundesregierung aufgefordert 
worden ist, den Bundestag über die Aktivitäten und Pla- 
nungen sowie einen möglichen gesetzgeberischen Hand- 
lungsbedarf in Bezug auf die datenschutzrechtlichen Auswir- 
kungen der RFID-Technologie zu unterrichten. In Nummer 7 
der Entschließung (Bundestagsdrucksache 16/4882, S. 3) 
heißt es: 

,,Der Deutsche Bundestag hat bereits in seiner Entschlie- 
ßung zum 19. Tätigkeitsbericht des Bundesbeauftragten 
für den Datenschutz (Bundestagsdrucksache 15/4597) die 
Bedeutung von Entwicklung und Einsatz datenschutz- 
freundlicher Technologien hervorgehoben (Nr. 5). Er for- 
dert die Bundesregierung auf sich für die Gewährleis- 
tung des Daten- und Verbraucherschutzes bei der 
Nutzung der RFID-Technologie einzusetzen. Insbeson- 
dere muss dafür Sorge getragen werden, dass die Betrof- 
fenen umfassend über den Einsatz, Verwendungszweck 
und den Inhalt von RFID-Tags informiert werden. Es 
muss die Möglichkeit bestehen, die im Handel verwende- 
ten RFID-Tags dauerhaft zu deaktivieren, bzw. die darauf 
enthaltenen Daten zu löschen, wenn Daten nicht mehr er- 
forderlich sind. Ferner muss gewährleistet werden, dass 
Daten von RFID-Tags aus verschiedenen Produkten nur 
so verarbeitet werden, dass keine heimlichen personenbe- 
zogenen Verhaltens-, Nutzungs- und Bewegungsprofile 
erstellt werden können. Die Bundesregierung wird aufge- 
fordert, dem Deutschen Bundestag noch in diesem Jahr 
über ihre Aktivitäten und Planungen und einen möglichen 
gesetzgeberischen Handlungsbedarf zu berichten (20. TB, 
Nr. 4.2.1). “ 

B. Gang der Darstellung 

In Teil 1 des Berichts werden die wesentlichen Grund- 
züge von RFID dargestellt. 

- Technische Grundlagen: Wie funktioniert RFID? 

- Anwendungsgebiete: Wo wird heute bereits RFID- 
Technologie eingesetzt? 

- Zukunflsperspektiven: Wird RFID sich zum Massen- 
phänomen entwickeln? 


- Chancen und Risiken: Welche Vor- und Nachteile 
bringt RFID im Vergleich zu anderen Identifikations- 
systemen? 

Teil 2 erörtert den Einsatz von RFID nach der aktuellen 
Rechtslage. Zugleich werden die wesentlichen Risiken 
für den Schufz personenbezogener Daten aufgezeigt und 
mögliche Lösungswege angesprochen. 

- Erhebung, Verarbeitung und Nutzung personenbezo- 
gener Daten: In welcher Form werden durch den Ein- 
satz von RFID personenbezogene Daten verarbeitet? 
Bietet das geltende Recht hinreichenden Schutz für die 
Befroffenen? 

- Löschung personenbezogener Dafen: Wann, wo und in 
welcher Form müssen Löschungsmöglichkeiten für 
die auf den Tags gespeicherten Daten zur Verfügung 
gesfellt werden, damit der Verbraucher die Kontrolle 
über seine personenbezogenen Daten behält? 

Teil 3 des Berichts schildert die derzeitigen nationalen 
und europäischen Aktivitäten zum Datenschutz bei RFID. 

- Aktueller Stand: Welche Aktivitäten gibt es derzeit auf 
nationaler und europäischer Ebene? Wie verhält sich 
die Wirtschaft zur datenschutzrechtlichen Problematik 
von RFID? 

In Teil 4 werden die wesentlichen Handlungsoptionen zur 
Lösung der datenschutzrechtlichen Problematik von 
RFID erörtert. 

- Weitere Vorgehensweise: Welche gesetzgeberischen 
Maßnahmen wären denkbar und wo lägen ihre Vor- 
und Nachteile? Wäre eine Selbstverpfiichtung der 
Wirtschaft eine realistische Alternative? 

Der fünfte und letzte Teil enthält Empfehlungen zur wei- 
teren Vorgehensweise. 

Insgesamt konzentriert sich der vorliegende Bericht - der 
Anforderung des Deutschen Bundestages entsprechend - 
auf die datenschutzrechtlichen Aspekte von RFID. 
Gleichwohl ist der Bundesregierung bewusst, dass ein 
vermehrter Einsatz von RFID-Technologie auch Auswir- 
kungen auf die Bereiche Wirtschaft, Umwelt, Gesundheit, 
Forschung und Verbraucherschutz haben kann. Diese 
Auswirkungen bedürften indessen aufgrund ihrer Kom- 
plexität einer eigenen, differenzierten Betrachtung. 

II. Teil 1 : Wesentliche Grundzüge von RFID 

„RFID“ ist die Abkürzung für „Radiofrequenz-Identifika- 
tion“ (Radio Frequency Identification). Unter „RFID- 
Technologie“ versteht man Verfahren zur kontaktlosen 
Identifizierung von Objekten per Funk. RFID zählt damit 
zu den sog. Automatic Identification (Auto-ID)-Syste- 
men. 

A. Funktionsweise und Stand der Technik 

RFID-Systeme bestehen aus zwei Komponenten: Einem 
Transponder (dem sog. „Tag“) und einem Lesegerät (dem 
sog. „Reader“). Der Transponder wird auf dem zu kenn- 
zeichnenden Trägerobjekt angebracht. Er enthält einen 
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elektronischen Mikrochip zur Datenspeicherung sowie 
eine Antenne, mit der Funkwellen gesendet und empfan- 
gen werden können. Das Lesegerät besteht ebenfalls aus 
Sender, Empfänger und Antenne. Gelangt ein „getagtes“ 
Objekt in die Sendereichweite eines Readers, können die 
auf dem Tag gespeicherten Daten ausgelesen und zur wei- 
teren Verarbeitung in eine Hintergrunddatenbank (sog. 
„Back-end“) übertragen werden. Je nach System unter- 
scheidet man zwischen „read-only“ und „read and 
write“-Tags. Die Größe der Tags ist unterschiedlich, kann 
heute jedoch bereits weit unter einem Quadratmillimeter 
liegen. 

Sendereichweite und Speicherkapazität von RFID-Syste- 
men sind abhängig von der gewählten Funkfrequenz und 
der Ausstattung der Tags. Man unterscheidet insoweit 
passive und aktive Tags. 

Passive Tags besitzen keine eigene Energiequelle. Sie 
werden durch induktive Kopplung vom Reader aus mit 
Energie versorgt. Der Reader erzeugt hierzu ein starkes 
elektromagnetisches Feld, das von der Empfängerantenne 
des Transponders aufgenommen und zur Übertragung der 
gespeicherten Daten an den Reader genutzt wird. Aktive 
Tags besitzen im Gegensatz dazu eine eigene Energie- 
quelle in Form einer Batterie. Verglichen mit passiven 
Tags verfügen sie über eine höhere Speicherkapazifät und 
Sendereichweife, sind allerdings auch deutlich teurer, 
größer und von geringerer Lebensdauer. 

Lesegeräte erfassen automatisch alle in ihre Empfangs- 
reichweite gelangenden Tags, unabhängig davon, ob 
diese gezielt oder zufällig in ihre Nähe gebracht werden. 
Solange ein Chip nicht deaktiviert ist, kann er mithin bis 
zum Ende seiner Lebensdauer von jedem Reader ausgele- 
sen werden. Ob die übertragenen Daten für den Verwen- 
der des jeweiligen Readers fafsächlich verwertbar sind, 
hängf allerdings von ihrem Inhalf und Verschlüsselungs- 
grad ab. 

Hinsichtlich der Funkfrequenzen haben sich für den 
RFID-Einsafz die Frequenzbereiche von unter 135 kHz 
(Niedrigfrequenzbereich), 13,56 MHz (Hochfrequenzbe- 
reich), 866 bis 960 MHz (Ultrahochfrequenzbereich - 
UHF) und 2,45 GHz (Mikrowellenbereich) durchgesefzf. 
Niedrigfrequenzsysteme besitzen nur geringe Reichwei- 
ten, bieten bei einigen Materialien (z. B. Wasser) aber 
bessere Durchdringungswerte und sind vergleichsweise 
preiswert herzustellen. Systeme auf höheren Frequenzen 
verfügen über längere Reichweiten, sind unempfindlicher 
gegenüber elektromagnetischen Störfeldem und erlauben 
den Transfer größerer Datenmengen. Die Auswahl des 
Frequenzbereichs hängt daher maßgeblich vom jeweili- 
gen Einsatzgebiet des Systems ab. 

Passive Tags besitzen im Niedrigfrequenzbereich ledig- 
lich eine Reichweite von wenigen Zentimetern. Im Hoch- 
frequenzbereich werden bis zu 3 m erreicht. Etwa 
90 Prozent aller derzeit eingesetzten RFID-Systeme ar- 
beiten mit Reichweiten von maximal einem Meter. 

Die Sendereichweite von aktiven Tags beträgt im Regel- 
fall bis zu 30 m. ln Ausnahme fällen und bei Verwendung 


eines exfrem hohen Frequenzbereichs können Reichwei- 
fen bis zu 1 000 m erreicht werden. 

Darüber hinaus können aktive RFID-Chips mit Sensoren 
verknüpft werden (sog. „Sensor- Tags“) und dadurch 
Messwerte, z. B. zu Temperatur, Feuchtigkeit oder Er- 
schütterungen, erheben und speichern. 

B. Aktuelle Einsatzgebiete von RFID 

Die Einsatzmöglichkeiten für RFID-Sysfeme sind vielfäl- 
tig. Sie eignen sich grundsätzlich für alle Bereiche, in 
denen die automatische Kennzeichnung, Erkennung, Re- 
gistrierung, Lagerung und Überwachung oder der auto- 
matische Transport von Objekten erforderlich sind. 

Auf folgenden Gebieten findet RFID-Technologie 
derzeit bereits in einigem Umfang Anwendung: 

Logistik/Lagermanagement/Transport und Electronic 
Product Code 

Insbesondere im Handel, aber auch bei Postdienstleistun- 
gen und in der Gepäckabfertigung an Flughäfen, wird 
RFID zur Steuerung, Überwachung und Optimierung von 
Liefer- und Lagerungsprozessen eingesetzt. Hierzu wer- 
den Güter, z. B. Waren oder Wareneinheiten mit einem 
RFID-Chip „getagt“, der einen individuellen Produktcode 
enthält. Über Lesegeräte an den unterschiedlichen Statio- 
nen der Lieferkette oder des Transportweges kann z. B. 
der Weg eines Trägerobjekts vom Hersteller bis zum End- 
kunden automatisch überwacht und gesteuert werden. 

Je nach Frequenzbereich erkennen RFID-Lesegeräte etwa 
200 Tags pro Sekunde. Lagerbestände und Warenfiuss 
lassen sich daher in kürzester Zeit automatisch erfassen 
und optimieren. Bei sensiblen Gütern, beispielsweise sol- 
chen die eine geschlossene Kühlkette benötigen, können 
über Sensor-Chips zudem die Umweltbedingungen über- 
wacht, protokolliert und nachgewiesen werden. Genutzt 
wird diese Technik teilweise bereits für den Transport 
von Blutkonserven, Pflanzen und Gemüse. 

Um RFID-Systeme auch für den internationalen Waren- 
verkehr nutzbar zu machen, hat die Non-profit-Organisa- 
tion EPCglobal einen weltweit standardisierten Produkt- 
code entwickelt, den sog. „EPC“ (Electronic Product 
Code). Der EPC soll erstmals jeder Ware bis hinunter zur 
einzelnen Verpackungseinheit eine global einmalige Iden- 
tifikationsnummer zuweisen und zukünftig als neuer 
Nummemstandard das EAN (European Article Number)- 
System der derzeit noch handelsüblichen Strichcode-Eti- 
ketten ersetzen. RFID-Tags haben gegenüber Strichcode- 
Etiketten zudem den Vorteil, dass sie keinen Sichtkontakt 
zum Lesegerät benötigen, daher in ein Objekt integriert 
werden können, und unempfindlicher gegenüber Um- 
welteinflüssen wie Schmutz, Staub oder Licht sind. 

Ebenso wie bei EAN zahlen die Teilnehmer des EPC- 
Systems eine umsatzabhängige Aufnahme- und Jahresge- 
bühr. Darüber hinaus steht EPC für ein internationales In- 
formationsnetzwerk, das den teilnehmenden Unterneh- 
men einen schnellen und sicheren Austausch von 
Produktdaten ermöglichen soll. Hierzu betreibt EPCglo- 
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bal u. a. einen „Objeet Naming Serviee“ (ONS), eine Art 
Adressbueh, über das anhand des jeweiligen Produkt- 
eodes abgefragt werden kann, wo der Nummemgeber 
weitere Produktinformationen bereithält. Das Netzwerk 
basiert auf Forsehungs- und Entwieklungsarbeiten, die 
vom Auto-ID Center des Massaehusetts Institute of Teeh- 
nology (MIT) initiiert wurden, und zählt derzeit weltweit 
etwa 850 Unternehmen. Auf deutseher Seite wird EPC- 
global dureh das Industriestandardisierungsgremium GS 1 
Germany vertreten. 

ProzesskontwIIe/Produktion 

ln der Produktion wird RFID zur Kontrolle automatisier- 
ter Arbeitsprozesse eingesetzt. Beispielsweise steuert die 
Automobilindustrie ihre Fertigungslinien über RFID- 
Chips, die an den Werkstüeken angebraeht sind und den 
einzelnen Stationen signalisieren, welehe Farbe oder 
Ausstattung ein Fahrzeug erhalten soll. 

Zahlungssystem e/Zugangskontro Ile 

Ein weiterer großer Anwendungsbereieh von RFID-Teeh- 
nologie sind Zahlungs- und Zugangskontrollsysteme 
(z. B. Skipässe, Mitgliedsausweise, Eintritts-, Kunden-, 
Sehlüssel- und Signaturkarten, Geräte zur Femablesung 
des Wärme verbrauehs naeh der Heizkostenverordnung). 
Unter anderem waren die Tiekets zur Fußball- WM 2006 
mit RFID-Chips gekennzeiehnet. Diskotheken, die ihren 
Stammkunden auf Wunseh RFID-Chips unter die Haut 
applizieren, sind bisher jedoeh auf das Ausland be- 
sehränkte, absolute Einzelfälle geblieben. 

Wegfahrsperren 

Weife Verbreitung hat RFID als Wegfahrsperre bei Kraft- 
fahrzeugen gefunden. Der Tag befindet sieh bei dieser 
Applikation im Autosehlüssel, das Lesegerät im Zünd- 
sehloss. 

Landwirtschaft/Qualitätskontrolle 

Ähnlieh wie im Warenhandel werden aueh Tiere bereits 
vielfaeh mit RFID-Chips und weltweit einmaliger Identi- 
fikationsnummer gekennzeiehnet. Große Tierbestände 
können dadureh sehnell erfasst, entlaufene Haustiere oder 
Brieftauben eindeutig identifiziert werden. Außerdem er- 
möglieht die Kennzeiehnung eine lüekenlose Herkunfts- 
kontrolle (z. B. von Fleisehwaren) und dient damit dem 
Verbrauehersehutz, der Seuehenbekämpfung und der 
Qualitätskontrolle. 

Arbeitswelt 

ln einigen Betrieben und Stellen der öffentliehen Verwal- 
tung wird RFID (zumeist in Form von Chipkarten) zur 
Zeiterfassung, Zugangskontrolle und Authentifizierung 
eingesetzt. Teilweise werden aueh Routinerundgänge 
z. B. des Sieherheits- oder Wartungspersonals mithilfe 
von Lesegeräten überwaeht. Die Anwendung von RFID- 
Teehnologie zur Aufenthaltsbestimmung von Arbeitneh- 


mern in Gefahrenbereiehen wird ebenfalls diskutiert, be- 
findet sieh jedoeh noeh weitgehend in der Testphase. Ins- 
gesamt unterseheidet sieh die mit dem Einsatz von RFID 
in der Arbeitswelt einhergehende Überwaehungsproble- 
matik reehtlieh im Kern nieht von den in diesem Zusam- 
menhang bereits bekannten und diskutierten Problemstel- 
lungen. 

Auf folgenden Gebieten werden RFID-Systeme 
derzeit in Form von Modellversuchen, 

Pilotprojekten und Testläufen erprobt: 

Endkundenbereich 

Im Endkundenbereieh laufen bei versehiedenen Einzel- 
handelsketten Modellversuehe zu RFlD-gestützten Kas- 
sensystemen und sog. „intelligenten Regalen“. RFID- 
Kassen erfassen alle getagten Produkte in einem Ein- 
kaufskorb gleiehzeitig und helfen daher, die Bezahlvor- 
gänge deutlieh zu besehleunigen. „Intelligente Regale“ 
melden selbstständig, wann bestimmte Waren naehgelie- 
fert werden müssen. Insgesamt befindet sieh die Kenn- 
zeiehnung von Konsumgütem jedoeh noeh in der 
Anfangsphase und erfolgt meist nur zu logistisehen 
Zweeken. Getagt werden hauptsäehlieh Paletten und Um- 
kartons, die im Regelfall nieht in die Verbrauehersphäre 
gelangen. Die Kennzeiehnung von Einzelartikeln (das 
sog. „item-tagging“) wird bisher nur testweise in wenigen 
Verkaufsstellen großer Einzelhandelsketten praktiziert, ln 
geringem Umfang werden RFID-Chips zudem zur Dieb- 
stahlssieherung und Qualitätskontrolle eingesetzt. Zu- 
künftig sollen darüber hinaus Produktinformationstermi- 
nals getestet werden, über die der Kunde z. B. Angaben 
zu Inhalts stoffen, Herkunft oder Kombinationsmöglieh- 
keiten bestimmter Artikel abrufen kann. Ansonsten geht 
die Nutzung von RFID im Endkundenbereieh derzeit 
noeh nieht über die Funktionalitäten des Bareodes hinaus. 

ÖPNV 

ln einigen Kommunen werden RFID-Systeme für den 
ÖPNV-Bereieh erprobf. Der Fahrgasf hälf beim Ein- und 
Aussfeigen ein wiederaufladbares RFID-Tiekef mif Zah- 
lungsfunktion vor ein Lesegerät, das automatiseh den 
Fahrpreis bereehnet und vom Kartenguthaben abbueht. 

Archivierungssysteme 

Gleiehes gilt für die RFID-Kennzeiehnung von Biblio- 
theks- und Arehivbesfänden. Aueh hier wird in einigen 
Pilofprojekfen gefesfef, inwieweif sieh Besfandserfas- 
sung, Diebsfahlsehufz und Ausleihvorgänge dureh den 
Einsatz von RFID optimieren lassen. 

Identitäts- und Echtheitsnachweis/Bekämpfung von 
Diebstahl und Produktpiraterie 

ln diese Kategorie fallen u. a. RFID-Anwendungen auf 
dem ePass, auf Veranstaltungstiekets sowie auf Arznei- 
mitteln und Luxusartikeln. 
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Sport 

Im Sport wird RFID vor allem bei Marathonwettbewer- 
ben eingesetzt. Mithilfe von RFID-Transpondem an den 
Laufschuhen der Teilnehmer lässt sich nachverfolgen, ob 
und wann ein Läufer einen bestimmten Streckenabschnitt 
passiert hat. 

Gesundheitssystem 

Im Gesundheitsbereich beschränkt sich der Einsatz von 
RFID ebenfalls auf einige wenige Pilotprojekte. Bei- 
spielsweise erhalten im Klinikum Saarbrücken Patienten 
Chip-Armbänder, auf denen die Patientennummer gespei- 
chert ist. Dadurch sollen die Auslastung der medizini- 
schen Geräte optimiert, Verwechslungen verhindert und 
Wartezeiten verkürzt werden. Teilweise werden auch Ver- 
bands- und Operationsmaterialien zur leichteren Be- 
standsverwaltung mit Tags versehen. 

Eine Reihe weiterer Anwendungsmöglichkeiten von 
RFID-Technologie werden derzeit diskutiert (darunter 
z. B. kommunale Mauterhebungssysteme „Citymaut“, 
Feuermeldesysteme, Sensor-Chips zur Überwachung des 
Blutzuckerspiegels, Wertstofferkennung in der Abfall- 
wirtschaft), sind - zumindest in Deutschland - jedoch 
noch nicht zur praktischen Umsetzung gelangt. 

C. Entwicklungsprognose 

RFID ist eine Schlüssel- und Querschnittstechnologie, die 
in den kommenden Jahren wesentlich an Bedeutung ge- 
winnen wird. 

Eine im Auftrag des Bundesministeriums für Wirtschaft 
und Technologie erstellte Studie kommt zu dem Ergebnis, 
dass im Jahr 2010 ca. 8 Prozent der Bruttowertschöpfung 
in wichtigen Bereichen des produzierenden Gewerbes, 
des Handels, des Verkehrs sowie der privaten und öffent- 
lichen Dienstleister von RFID beeinflusst sein werden. 

Kurz- und mittelfristig wird RFID dabei vor allem im Lo- 
gistik- und Lagermanagement sowie in der Fertigung 
weitere Verbreitung finden. So soll die Kennzeichnung 
von Transportbehältern bereits 2010 flächendeckend auf 
RFID-Tags umgestellt sein. Im gleichen Zeitraum wird 
sich die Zahl der RFID-Anwender in der Automobil- 
industrie voraussichtlich verdoppeln. 

In anderen Wirtschaftsbereichen und insbesondere im 
Mittelstand wird RFID dagegen erst mittel- bis langfristig 
eine größere Rolle spielen. Der „RFID-Hype“ der vergan- 
genen Jahre hat sich hier merklich abgekühlt. Dies liegt 
zum einen an den noch zu hohen Produktionskosten der 
Tags. Zum anderen fehlt für viele Systemkomponenten 
noch die notwendige - auch internationale - Standardisie- 
rung. Vor allem die Einführung eines weltweit harmoni- 
sierten Frequenzspektrums stößt auf Schwierigkeiten, da 
Europa gerade im besonders nachgefragten UHF-Bereich 
nur begrenzte Bandbreiten zur Verfügung stellen kann. 

Auf welchen Gebieten und vor allem in welchem zeitli- 
chen Rahmen RFID-Applikationen über den Produktions- 
und Logistikbereich hinaus signifikante Verbreitung fin- 


den werden, ist derzeit noch nicht konkret absehbar. Eine 
fiächendeckende Einführung von miteinander kompatib- 
len Lesegeräten wird - wenn überhaupt - allenfalls auf 
lange Sicht entstehen. 

Nach derzeitigem Kenntnisstand ist zu vermuten, dass 
Endverbraucher vor dem Jahr 2015 nicht flächendeckend 
mit RFID konfrontiert sein werden. Die Kennzeichnung 
von Konsumgütem mit RFID-Tags befindet sich gegen- 
wärtig erst in der Anfangsphase und wird den EAN- 
Strichcode nur langsam ablösen. Der Einsatz von „intelli- 
genten Regalen“, Informationsterminals und RFID-ge- 
stützten Kassensystemen reicht über das Versuchsstadium 
noch nicht hinaus. Mittelfristig werden allenfalls die grö- 
ßeren Einzelhandelsketten vermehrt solche Applikationen 
einführen. Gleiches gilt für den Einsatz von RFID-Tickets 
im ÖPNV-Bereich. Eine flächendeckende Umstellung auf 
RFID ist dort schon aus Kostengründen in näherer Zu- 
kunft nicht zu erwarten. 

Verbraucher werden daher auch mittelfristig im Wesentli- 
chen mit den bereits etablierten Anwendungsformen von 
RFID (Wegfahrsperre, Veranstaltungs-Ticketing, Zu- 
gangskontrollen, ePass) konfrontiert sein. 

D. Chancen und Risiken 

Große Chancen bietet RFID vor allem für die deutsche 
Wirtschaft. 

Deutschland ist derzeit - neben Frankreich und Großbri- 
tannien - Vorreiter bei der Entwicklung, Erprobung und 
Umsetzung von RFID-Anwendungen. Für die deutschen 
Hersteller von RFID-Komponenten wird bis 2010 eine 
Umsatzsteigerung auf etwa 1,4 Mrd. Euro Gesamtumsatz 
(2006: ca. 914 Mio. Euro) prognostiziert. 

Darüber hinaus bietet RFID erhebliches Potential zur Ef- 
fizienz- und Qualitätssteigerung vor allem in den Berei- 
chen Logistik und Prozesskontrolle. So werden in der Au- 
tomobilindustrie durch den vermehrten Einsatz von RFID 
bis 2010 Produktivitätseffekte von 2,42 Mrd. Euro (2006: 
0,75 Mrd. Euro) erwartet. Die flächendeckende Kenn- 
zeichnung von Transportbehältern mit RFID-Tags soll zu 
Effizienzsteigerungen von 5 bis 10 Prozent führen. 

Verantwortungsvoll eingesetzt versprechen RFID-Sys- 
teme auch große Vorteile für Verbraucher. Zu nennen sind 
hier vor allem beschleunigte Bezahlvorgänge, bessere 
Rückverfolgbarkeit von Produkten sowie höhere Produkt- 
sicherheit und -qualität. In einigen Bereichen ist der Ein- 
satz von RFID-Technologie auf Verbraucherseite bereits 
allgemein akzeptiert (z. B. bei Mitglieds- und Eintritts- 
karten, Skipässen, Wegfahrsperren oder Zugangskontrol- 
len). 

Dennoch birgt der Einsatz von RFID auch gewisse Risi- 
ken für das informationeile Selbstbestimmungsrecht des 
Einzelnen und wird daher insbesondere auf Daten- und 
Verbraucherschutzseite kontrovers diskutiert. Verbrau- 
cherschutzverbände wie auch der Bundesbeauftragte für 
den Dafenschufz und die Informationsfreiheit warnen re- 
gelmäßig davor, dass die RFID-gestützte Verarbeitung 
personenbezogener Daten für Befroffene kaum kontrol- 
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lierbar ist. Insbesondere bestehe die Gefahr, dass Dienst- 
leister über heimlich ausgelesene RFID-Tags detaillierte 
Verhaltens-, Nutzungs- und Bewegungsprofile erstellen, 
um ihre Marketingstrategien zu optimieren. In manchen 
Kreisen werden sogar „Big-Broth er- Szenarien“ einer all- 
gegenwärtigen Überwachung befürchtet (s. hierzu auch 
Ziff III C). 

Letztere sind angesichts der Tatsache, dass mit einem flä- 
chendeckenden Netz von Lesegeräten allenfalls sehr 
langfristig zu rechnen ist, noch völlig unrealistisch. Kurz- 
und mittelfristig wird die RFID-basierte Verarbeitung 
personenbezogener Daten kaum über das hinausgehen, 
was heute bereits über Kunden- und Kreditkarten, Bar- 
code und Überwachungskameras möglich - und üblich - 
ist. Zudem sind viele in der Verbrauchersphäre anzutref- 
fenden RFID-Systeme auf den unmittelbaren Nahbereich 
ausgelegt. Sie erkennen mithin nur solche Tags, die Be- 
troffene direkt vor das Lesegerät halten, nicht dagegen 
Chips, die sich an weiter entfernter Stelle in der Kleidung 
oder im Geldbeutel befinden. 

Abgesehen davon sind die Befürchtungen auf Daten- und 
Verbraucherschutzseite jedoch nicht unbegründet. Die be- 
sondere Funktionsweise von RFID führt dazu, dass Da- 
tenverarbeitungsvorgänge für Betroffene nicht ohne wei- 
teres erkennbar werden und daher ohne entsprechende 
Schutzmaßnahmen kaum kontrollierbar sind. Dies ergibt 
sich daraus, dass 

- RFID-Tags aufgrund ihrer geringen Größe für Ver- 
braucher quasi unsichtbar sind, 

- Lesegeräte automatisch alle in ihre Reichweite gelan- 
genden Tags erfassen - auch solche fremder oder frü- 
herer Verwender -, soweit sie technisch kompatibel 
sind, 

- der Leseprozess sichtkontaktlos erfolgt und 

- bei jedem Leseprozess die Möglichkeit besteht, dass 
an sich neutrale Speicherdaten im Back-end-System 
mit personenbezogenen Angaben zusammengeführt 
und auf diese Weise selbst zu personenbezogenen Da- 
ten werden. 

Ausgehend von diesen Spezifika ist mithin zu fragen, 
welche rechtlichen und technischen Datenschutzinstru- 
mentarien für den Einsatz von RFID aktuell zur Verfü- 
gung stehen, ob diese geeignet sind, das informationeile 
Selbstbestimmungsrecht der Betroffenen hinreichend ab- 
zusichem, und welche ergänzenden Schutzmaßnahmen 
gegebenenfalls empfehlenswert wären. 

III. Teil 2: Die datenschutzrechtliche Bewer- 
tung von RFID-Applikationen 

A. Gegenwärtige Rechtslage 

Da für die RFID-basierte Erhebung, Verarbeitung und 
Nutzung von Daten keine bereichsspezifischen Normen 
existieren, bestimmt sich die Rechtslage nach den allge- 
meinen Regelungen des Bundesdatenschutzgesetzes 
(BDSG). 


Das BDSG konkretisiert auf einfachgesetzlicher Ebene 
das im „Volkszählungsurteil“ des Bundesverfassungsge- 
richts entwickelte „Recht auf informationelle Selbstbe- 
stimmung“ (BVerfGE 65,1 [41]). Dieses isf Besfandfeil 
des durch Artikel 2 Abs. 1 i. V. m. Artikel 1 Abs. 1 GG 
geschützten allgemeinen Persönlichkeitsrechts und damit 
wesentliche Ausprägung der Menschenwürde und der all- 
gemeinen Handlungsfreiheit. Es verleiht dem Einzelnen 
die Befugnis, grundsäfzlich selbsf zu enfscheiden, wann 
und in welchem Umfang er persönliche Lebenssachver- 
halfe preisgeben möchfe. 

Das Recht auf informationeile Selbstbestimmung ist 
grundsätzlich ein Abwehrrecht des Bürgers gegen den 
Staat, es wirkt jedoch auch als objektive Schutznorm und 
verlangt gesetzgeberische und administrative Vorkehrun- 
gen mit dem Ziel, Beeinträchtigungen von Seiten nicht- 
staatlicher Dritter vorzubeugen. Nach der Rechtspre- 
chung des Bundesverfassungsgerichts bedarf die 
informationeile Selbstbestimmung des Einzelnen in Zei- 
ten moderner Datenverarbeitung - gerade angesichts der 
Möglichkeit zu umfassender Profilbildung - des besonde- 
ren Schutzes. Entsprechend unterwirft das BDSG den 
Umgang mit personenbezogenen Daten einer Reihe von 
Einwilligungs-, Transparenz- und Zweckbindungsrege- 
lungen. 

Grundvoraussetzung für die Anwendbarkeif des BDSG 
isf das Erheben, Verarbeiten oder Nutzen personenbezo- 
gener Daten durch verantwortliche Stellen für nichf aus- 
schließlich persönliche oder familiäre Tätigkeifen. 

Dabei isf 

- „Erheben“ das gezielte Beschaffen von Daten über 
den Betroffenen, § 3 Abs. 3 BDSG, 

- „Verarbeiten“ das Speichern, Verändern, Übermitteln, 
Sperren und Löschen personenbezogener Daten, § 3 
Abs. 4 Satz 1 BDSG, 

- „Nutzen“ j ede Verwendung personenbezogener Daten, 
die keine Verarbeitung ist (wie z. B. Kopieren oder 
Auswerten), § 3 Abs. 5 BDSG. 

„Personenbezogene Daten“ sind „Einzelangaben über 
persönliche oder sachliche Verhältnisse einer bestimmten 
oder bestimmbaren natürlichen Person (Betroffener)“, § 3 
Abs. 1 BDSG. 

„Bestimmt“ ist eine Person, wenn - z. B. über eine unmit- 
telbare Verknüpfung mit dem Namen und/oder sonstigen 
Identifizierungsmerkmalen der betroffenen Person - fest- 
steht, dass sich die jeweiligen Daten nur auf diese Person 
und nicht auf eine andere beziehen. 

„Bestimmbarkeit“ liegt vor, wenn die Daten erhebende 
Stelle mit den ihr normalerweise zur Verfügung sfehen- 
den Hilfsmiffeln auf die hinter den Daten stehende Person 
schließen kann, die Daten mithin „personenbeziehbar“ 
sind. 

Sind personenbezogene Daten betroffen, ist die Erhe- 
bung, Verarbeitung und Nutzung dieser Daten nur zuläs- 
sig, wenn Betroffene entweder zuvor eingewilligt haben 
oder eine gesetzliche Vorschrift im BDSG oder Spezial- 
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gesetzen die Erhebung oder Verwendung der Daten er- 
laubt (§ 4 Abs. 1 BDSG). Zudem sind das Transparenzge- 
bot sowie die Grundsätze der Zweckbindung und 
Erforderlichkeit zu beachten. Besondere Anforderungen 
gelten darüber hinaus für den Umgang mit sog. „sensiti- 
ven Daten“, d. h. Angaben zur rassischen und ethnischen 
Herkunft einer Person, zu politischen, religiösen und phi- 
losophischen Überzeugungen, zu Gewerkschaftszugehö- 
rigkeit, Gesundheit und Sexualleben. 

Die Einwilligung bedarf grundsätzlich der Schriftform 
und muss auf der freien Entscheidung der Betroffenen be- 
mhen. Diese sind daher auf den vorgesehenen Zweck der 
Datenerhebung, -Verarbeitung und -nutzung sowie gege- 
benenfalls auf die Folgen der Verweigerung ihrer Einwil- 
ligung hinzuweisen. Soll die Einwilligung zusammen mit 
anderen Erklärungen erteilt werden, ist sie besonders her- 
vorzuheben (§ 4a BDSG). 

Als gesetzlicher Erlaubnistatbestand für den Einsatz von 
RFID kommt insbesondere § 28 Abs. 1 BDSG in Be- 
tracht. Nach § 28 Abs. 1 Satz 1 Nr. 1 bis 3 BDSG ist die 
Erhebung und Verwendung personenbezogener Daten als 
Mittel zur Erfüllung eigener Geschäftszwecke zulässig, 

- wenn es der Zweckbestimmung eines Vertragsverhält- 
nisses oder vertragsähnlichen Verhältnisses mit den 
Betroffenen dient; 

- soweit es zur Wahrung berechtigter Interessen der ver- 
antwortlichen Stelle erforderlich ist und kein Grund zu 
der Annahme besteht, dass das schutzwürdige Inte- 
resse der Betroffenen am Ausschluss der Verarbeitung 
überwiegt; 

- wenn die Daten allgemein zugänglich sind oder die 
verantwortliche Stelle sie veröffentlichen dürfte, es sei 
denn, dass das schutzwürdige Interesse der Betroffe- 
nen am Ausschluss der Verarbeitung gegenüber dem 
berechtigten Interesse der verantwortlichen Stelle of- 
fensichtlich überwiegt. 

Dabei sind die Zwecke der Datenverarbeitung konkret 
festzulegen. Eine Nutzung zu anderen Zwecken als den 
festgelegten darf nur auf der Grundlage eines ausdrückli- 
chen gesetzlichen Erlaubnistatbestands erfolgen. Eine 
entsprechende Erlaubnis besteht u. a. für die Nutzung zu 
Zwecken der Werbung, Markt- und Meinungsforschung, 
soweit die Betroffenen nicht widersprechen und zuvor 
über ihr Widerspruchsrecht aufgeklärt wurden, § 28 
Abs. 3 Satz 1 Nr. 3, § 28 Abs. 4 BDSG. 

Darüber hinaus muss der Umgang mit personenbezoge- 
nen Daten dem Transparenzgebot genügen, d. h. die ver- 
antwortliche Stelle hat die Pflicht, ihre Datenverarbei- 
tungsvorgänge erkennbar zu machen, damit die 
Betroffenen selbst entscheiden können, wann und wem 
sie ihre Daten preisgeben. 

Zur Absicherung des Transparenzgebots sieht das BDSG 
eine Reihe von Unterrichtungs-, Benachrichtigungs- und 
Auskunftspflichten der verantwortlichen Stellen vor. Er- 
folgt die Datenerhebung bei den Betroffenen selbst, sind 
sie über die Identität der die Daten erhebenden Stelle, die 
Zweckbestimmung der Datenerhebung, die Datenemp- 


fänger sowie über eventuelle gesetzliche Verpflichtungen 
zur Auskunftserteilung und die Folgen einer Auskunfts- 
verweigerung zu unterrichten, § 4 Abs. 3 BDSG. Erfolgt 
die Datenspeicherung ohne Kenntnis der Betroffenen, 
sind sie entsprechend zu benachrichtigen, §§ 19a und 
33 BDSG. Zudem gewähren §§ 19 und 34 BDSG den Be- 
troffenen einen Anspruch auf grundsätzlich unentgeltli- 
che Auskunft über die zu ihrer Person gespeicherten Da- 
ten, deren Zweckbestimmung und Empfänger. 

Besondere Informationspflichten bestehen zudem beim 
Einsatz mobiler personenbezogener Speicher- und Verar- 
beitungsmedien. Dies sind Datenträger, die an die Betrof- 
fenen ausgegeben werden und personenbezogene Daten 
nicht nur speichern, sondern auch automatisiert verarbei- 
ten, wobei die Betroffenen den Verarbeitungsprozess le- 
diglich durch Gebrauch oder Nichtgebrauch des Mediums 
beeinflussen können (z. B. Chipkarten, die automatisch 
Ort und Datum jeder Benutzung speichern). Wird ein sol- 
ches Medium eingesetzt, muss die ausgebende Stelle die 
Betroffenen über ihre Identität und Anschrift sowie in all- 
gemeinverständlicher Form über die Funktionsweise des 
Mediums aufklären. Zudem sind die Betroffenen darüber 
zu informieren, wie sie ihre Rechte auf Auskunft und 
Korrektur geltend machen können und welche Maßnah- 
men bei Verlust oder Zerstörung des Mediums zu treffen 
sind, § 6c BDSG. 

Des Weiteren gelten die Grundsätze der Zweckbindung 
und Erforderlichkeit, d. h. personenbezogene Daten dür- 
fen nur erhoben und verarbeitet werden, soweit sie für 
festgelegte, eindeutige und rechtmäßige Zwecke erforder- 
lich sind. Technische Datenverarbeitungssysteme müs- 
sen so gestaltet sein, dass sie so wenige personenbezo- 
gene Daten wie möglich erheben. Unzulässig ist vor 
allem die sog. „Vorratsspeicherung“ zu unbestimmten 
Zwecken. 

Personenbezogene Daten, die unter Missachtung der ge- 
setzlichen Vorgaben gespeichert wurden, sind zu löschen, 
fehlerhafte Daten zu berichtigen, § 35 Abs. 1, Abs. 2 
Satz 2 Nr. 1 BDSG. 

Schließlich haben die verantwortlichen Stellen hinrei- 
chende Maßnahmen zur Datensicherung und Daten- 
schutzkontrolle zu treffen, § 9 BDSG i. V. m. der Anlage 
zu § 9 BDSG. Insbesondere ist zu gewährleisten, dass 
ausschließlich berechtigte Personen auf das Datenverar- 
beitungssystem zugreifen und personenbezogene Daten 
nicht unbefugt gelesen, kopiert, verändert oder entfernt 
werden können. Nach § 9 Satz 2 BDSG sind jedoch nur 
solche Maßnahmen erforderlich, deren Aufwand in einem 
angemessenen Verhältnis zum angestrebten Schutzzweck 
steht. 

Verstöße gegen datenschutzrechtliche Vorschriften kön- 
nen mit einer Geldbuße von bis zu 250 000 Euro geahn- 
det werden, § 43 BDSG. Bestimmte Handlungen sind zu- 
dem strafbewehrt, wenn sie gegen Entgelt, mit 
Bereicherungs- oder Schädigungsabsicht begangen wer- 
den, § 44 BDSG. Das Strafmaß ist Freiheitsstrafe bis zu 
zwei Jahren oder Geldstrafe. Die Tat wird nur auf Antrag 
verfolgt. 
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B. Die Anwendbarkeit des bestehenden 
Datenschutzinstrumentariums 
auf RFiD 

Wie bereits beschrieben wird RFID in sehr unterschiedli- 
chen Bereichen eingesetzt. Eine pauschale datenschutz- 
rechtliche Bewertung dieser Technologie ist daher nicht 
möglich. Die Frage, ob und in welchem Umfang das be- 
stehende Datenschutzregime auf RFID-Applikationen 
Anwendung findet - bzw. Anwendung finden sollte be- 
darf vielmehr einer differenzierteren Betrachtung anhand 
der Art der gespeicherten Daten. Insofern ist noch einmal 
darauf hinzuweisen, dass die Anwendbarkeit des BDSG 
nur dann gegeben ist, wenn personenbeziehbare Daten 
verarbeitet werden. 

1. Speicherung personenbezogener Daten 
auf dem Tag 

Werden personenbezogene Angaben unmittelbar auf den 
Tags gespeichert, ist die jeweilige RFID-Applikation da- 
her stets datenschutzrechtlich relevant und fallt eindeutig 
in den Anwendungsbereich des BDSG. Zu dieser Katego- 
rie zählen gegenwärtig z. B. Ausweis- und Signaturkarten 
oder personalisierte Veranstaltungstickets. 

Die Datenerhebung, -Verarbeitung und -nutzung muss in 
diesen Fällen vollumfänglich den o. g. Vorgaben des 
BDSG und ggf einschlägiger bereichsspezifischer Vor- 
schriften genügen. 

Werden aktive Tags verwendet, auf denen eigenständige 
Datenverarbeitungsprozesse stattfinden, sind zudem die 
besonderen Informationspflichten des § 6c BDSG für mo- 
bile personenbezogene Speicher- und Verarbeitungsme- 
dien zu beachten. 

2. Speicherung neutraler Daten auf dem Tag 

Weniger eindeutig ist die Rechtslage, wenn der Tag neu- 
trale Daten wie eine Kennziffer oder einen Code enthält. 
In diese Kategorie fallen z. B. RFID-Systeme in den Be- 
reichen Prozesskontrolle, Produktkennzeichnung, Logis- 
tik- und Lagermanagement, Zugangskontrolle, Dieb- 
stahls- und Fälschungsschutz sowie Tierkennzeichnung. 
Die Speicherdaten haben in diesen Fällen zwar selbst kei- 
nen direkten Personenbezug, dieser kann jedoch gegebe- 
nenfalls durch eine Verknüpfung mit personenbezogenen 
Daten hergestellt werden. 

2.1 Unternehmensinterner Bereich 

Bei RFID-Anwendungen im rein untemehmensintemen 
Bereich, d. h. in Fertigung, Logistik oder Lagermanage- 
ment, ist eine solche Verknüpfung regelmäßig nicht zu er- 
warten. Die gespeicherten Daten werden vielmehr dauer- 
haft nicht personenbezogen bleiben, so dass die 
Regelungen des BDSG nicht anwendbar sind. Ein beson- 
derer Schutz ist in diesen Fällen aber auch nicht erforder- 
lich, da mangels Personenbeziehbarkeit der verarbeiteten 
Daten keine Gefahr für das informationelle Selbsfbesfim- 
mungsrechf Einzelner besieht. 


2.2 Verbrauchersphäre 

Sobald ein getagtes Objekt in die Sphäre der Verbraucher 
gelangt, stellt sich die Situation dagegen differenzierter 
dar. 

Zwar muss auch in diesem Fall nicht zwingend eine Ver- 
knüpfung zwischen den gespeicherten Daten und einer 
konkreten Person entstehen. Aufgrund der bereits be- 
schriebenen Besonderheiten von RFID-Systemen ist es 
jedoch nicht auszuschließen, dass die neutralen Produkt- 
codes zu irgendeinem Zeitpunkt gezielt oder zufällig mif 
den persönlichen Angaben von Verbrauchern kombiniert 
und dadurch personenbeziehbar werden. Bei RFID-ge- 
stützter Verarbeitung im Verbraucherbereich sind daher 
auch an sich nicht personenbezogene Daten zumindest 
„potentiell personenbeziehbar“. 

Eine gezielte Verknüpfung geschieht beispielsweise, 
wenn Verbraucher ein getagtes Produkt mit Kunden- oder 
Kreditkarte bezahlen und der Produktcode im Back-end- 
System des Einzelhändlers mit den Kartendaten der Kun- 
den zusammengeführt wird. 

Eine zufällige Verknüpfung kann vor allem dadurch enf- 
sfehen, dass Lesegeräfe nichf nur die Tags des akfuellen 
Einkaufs, sondern auch älfere oder fremde Chips erfas- 
sen, die Konsumenfen - möglicherweise unbewussf - bei 
sich fragen. 

So isf es beispielsweise denkbar, dass Kunden in der Klei- 
dung Tags aus früheren Einkäufen mit sich führen, für die 
im Back-end-Sysfem des Einzelhändlers bereifs eine Ver- 
knüpfung existiert. Selbst wenn Kunden bei späteren Ein- 
käufen bar bezahlen, könnten sie über die alten Tags iden- 
tifiziert werden. Eine persönliche Zuordnung der bar 
bezahlten Waren wäre dann ebenfalls möglich. Zudem ist 
nicht ausgeschlossen, dass die Produktcodes fremder Wa- 
ren ebenfalls ausgelesen und mit vorhandenen personen- 
bezogenen Angaben verknüpft werden. Auf diese Weise 
wäre es möglich, heimliche Konsum- und Bewegungs- 
profile zu erstellen, denn insbesondere genormte Kenn- 
ziffern wie der European Product Code (EPC) lassen an- 
hand ihrer Zeichenfolge - zumindest für andere 
Lizenznehmer - ohne größeren Aufwand einen Rück- 
schluss auf die Art der getagten Ware zu. 

Denkbar ist zudem die Variante, dass der Personenbezug 
über zufällig ausgelesene Tags mif personenbezogenen 
Speicherdaten (z. B. Ausweis- oder Signaturkarten) zu- 
stande kommt. Allerdings setzen die Verwender solcher 
Systeme in aller Regel hinreichende Verschlüsselungs- 
techniken ein, um ein Auslesen durch Dritte zu verhin- 
dern. 

Bei gezielter Verknüpfung wird der Umgang mit den ur- 
sprünglich neutralen Daten ab Eintritt der Personenbe- 
ziehbarkeit vom BDSG erfasst. Die Erhebung, Verarbei- 
tung und Nutzung der entsprechenden Daten ist dann nur 
noch unter Beachtung der gesetzlichen Vorgaben zuläs- 
sig. 

Bei zufälliger Verknüpfung isf dagegen zu differenzieren. 
Das bloße zufällige Auslesen fremder Tags sfellt mangels 
Zielgerichtetheif noch keine Datenerhebung nach dem 
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BDSG dar. Werden die ausgelesenen Daten jedoeh wei- 
terverarbeitet, z. B. automatisiert gespeiehert, finden die 
datensehutzreehtliehen Bestimmungen ab diesem Zeit- 
punkt Anwendung. Da die Betroffenen bei zufälliger Da- 
tenerhebung regelmäßig nieht eingewilligt haben, bedeu- 
tet dies, dass die Daten sofort zu lösehen sind, § 20 Abs. 2 
Nr. 1, § 35 Abs. 2 Satz 2 Nr. 1 BDSG. 

Rein reehtlieh betraehtet sind die datensehutzreehtliehen 
Verpfiiehtungen, denen die Verwender von RFID-Syste- 
men unterliegen, damit eindeutig festgelegt. Eine Per- 
sonalisierung gespeieherter Daten darf nur dann erfolgen, 
wenn ein gesetzlieher Erlaubnistatbestand eingreift oder 
die Betroffenen zuvor eingewilligt haben. Heimliehe 
Profilbildung muss unterbleiben. Zufällig erhobene 
personenbeziehbare Daten sind zu lösehen. Die verant- 
wortliehe Stelle muss ihren Aufklärungs- und Informa- 
tionspfiiehten genügen und den Betroffenen die Möglieh- 
keit geben, die über sie gespeieherten Daten einzusehen 
und ggf lösehen oder beriehtigen zu lassen. Die hierzu 
erforderliehen teehnisehen Einriehtungen lassen sich in 
der Regel ohne weiteres in die jeweiligen RFID-Systeme 
integrieren, bedeuten für die verantwortlichen Stellen je- 
doch einen nach den Umständen ggf nicht unbeträchtli- 
chen finanziellen Aufwand. 

Faktisch wird der datenschutzkonforme Einsatz von 
RFID jedoch dadurch erschwert, dass die Beteiligten 
- bei zufälligem Auslesen - oftmals nicht rechtzeitig er- 
kennen und kontrollieren können, ob, wann, wo und in 
welchem Umfang neutrale Daten personenbeziehbar wer- 
den und mithin die Einhaltung der gesetzlichen Bestim- 
mungen erforderlich wäre. 

Erschwerend kommt hinzu, dass potentielle Personenbe- 
ziehbarkeit nicht ausreicht, um das BDSG zur Anwen- 
dung zu bringen. Dadurch bewegen sich die Beteiligten 
gewissermaßen in einer Grauzone. Verwender, die mit 
RFID gekennzeichnete Produkte in Umlauf bringen, ver- 
arbeiten lediglich potentiell personenbeziehbare Produkt- 
codes und unterliegen damit (noch) keinen datenschutz- 
rechtlichen Verpfiiehtungen. Der Betreiber des Systems, 
das diese Daten später mit den persönlichen Daten von 
Verbrauchern verknüpft, hat die Schutzvorschriften des 
BDSG zwar einzuhalten, kann dies aber faktisch nur in 
den Fällen tun, in denen - wie etwa beim Bezahlvorgang 
mit Kreditkarte - die Entstehung des Personenbezugs für 
ihn rechtzeitig erkennbar wird. 

C. Lösungsmöglichkeiten 

Effektiver Datenschutz sollte daher beim Einsatz von 
RFID möglichst frühzeitig einsetzen. Erforderlich sind 
präventive Maßnahmen zum Schutz des informationeilen 
Selbstbestimmungsrechts ab dem Zeitpunkt, in dem ein 
getagter Gegenstand - und sei dieser auch nur mit einem 
Produktcode markiert - in die Verbrauchersphäre gelangt. 

Diese präventiven Schutzmaßnahmen sollten in jedem 
Falle folgende Komponenten beinhalten: 


Transparenz nnd Kennzeichnnngspflicht 

Der Verbraucher muss auf den Einsatz und die Funktions- 
weise von RFID-Technologie hingewiesen und umfas- 
send über Art und Verwendungszweck der auf den Chips 
gespeicherten Daten, einschließlich der vorgesehenen 
Verknüpfung mit anderen, insbesondere personenbezoge- 
nen Daten, informiert werden. Dies kann beispielsweise 
durch Logos auf den getagten Produkten, Hinweistafeln 
und Leseterminals zum Abrufen der gespeicherten Daten 
geschehen. Standort und Reichweite von Readern sind 
ebenfalls deutlich zu kennzeichnen. 

Verbindlicher Verzicht auf heimliche Profilbildung 

Es ist zu gewährleisten, dass aus potentiell personenbe- 
ziehbaren Speicherdaten wie Produktcodes keine allge- 
meinen Verhaltens-, Nutzungs- und Bewegungsprofile er- 
stellt werden, da die Gefahr besteht, dass diese später ggf 
mit einer konkreten Person in Verbindung gebracht wer- 
den können. Zudem wird in diesem Zusammenhang häu- 
fig auch ein ausdrückliches Verbot der Bildung unmittel- 
bar personenbezogener Profile gefordert. Ein solches 
Verbot besteht nach gegenwärtiger Rechtslage jedoch be- 
reits, soweit Betroffene der entsprechenden Verwendung 
ihrer Daten nicht ausdrücklich zugestimmt haben. 

Datensicherheit 

Die gespeicherten Daten sind durch geeignete Daten- 
sicherheitstechniken vor heimlichem oder zufälligem 
Auslesen durch Dritte sowie vor unbefugter Verände- 
rung zu schützen. Gleiches gilt für das unbefugte Abhö- 
ren während des Übertragungsvorgangs vom Tag zum 
Reader. Zudem ist sicherzustellen, dass die Back-end- 
Systeme den Anforderungen des § 9 BDSG genügen. 

Deaktivierungsmöglichkeit 

Konsumenten müssen beim Erwerb eines getagten Pro- 
dukts die Möglichkeit erhalten, den Chip entweder selbst 
zu entfernen, zu deaktivieren bzw. die darauf befindlichen 
Daten zu löschen oder sie müssen dies vom Verkäufer 
verlangen können. Vorzugsweise sollte die Deaktivierung 
dabei nach dem sog. „Opt-in-Modell“ erfolgen. Bei die- 
sem Modell werden die Chip-Daten beim Bezahlvorgang 
automatisch gelöscht. Möchte der Verbraucher die Funk- 
tion des Chips erhalten, z. B. um später tag-gebundene 
Serviceleistungen wie Bonuspunkte oder erleichterten 
Umtausch in Anspruch nehmen zu können, muss er der 
Deaktivierung ausdrücklich widersprechen. 

Die Wirtschaft favorisiert dagegen das sog. „Opt-out-Mo- 
dell“ (wobei jedoch in den aktuellen Testverkaufsstellen 
ganz überwiegend Opt-in praktiziert wird). Opt-out be- 
deutet, dass die Deaktivierung nicht automatisch vorge- 
nommen wird, sondern nur dann, wenn der Kunde dies 
ausdrücklich wünscht. Bei diesem Modell besteht die Ge- 
fahr, dass Verbraucher es aus Zeitnot, mangelndem Pro- 
blembewusstsein oder schlicht Vergesslichkeit unterlas- 
sen, die Deaktivierung zu verlangen oder durchzuführen. 
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ln jedem Falle sollte die verantwortliche Stelle zudem Le- 
seterminals zur Verfügung stellen, über die Verbraucher 
den Erfolg der Deaktivierung bzw. den Inhalt der Spei- 
cherdaten kontrollieren können. 

Datensparsamkeit 

Die Reichweite von RFID-Systemen ist auf das erforder- 
liche Maß zu beschränken. Insbesondere ist sicherzustel- 
len, dass möglichst keine Chips fremder Verwender er- 
fasst bzw. die erfassten fremden Speicherdaten umgehend 
gelöscht werden. 

Technische Lösungen zur Gewährleistung dieser Schutz- 
maßnahmen sind auf dem Markt in unterschiedlicher 
Form erhältlich bzw. lassen sich auf die jeweilige Appli- 
kation zuschneiden. Bei einigen Konsumgütem dürfte es 
sogar bereits genügen, den Chip so anzubringen, dass er 
sich körperlich entfernen lässt, ln anderen Fällen können 
die Chips z. B. über sog. Kill-Befehle deaktiviert oder 
durch Blocker-Tags vor unbefugtem Auslesen abge- 
schirmt werden. 

Es sind zudem Chips mit abtrennbarer Antenne auf dem 
Markt, die nach dem Entfernen des Antennenteils nur 
noch im absoluten Nahbereich arbeiten. Diese Chips ha- 
ben den Vorteil, dass sie von dritter Seite nicht mehr aus- 
gelesen werden können, aber Kunden etwaige tag-gebun- 
dene Serviceleistungen des Verwenders erhalten bleiben. 

Die zufällige Miferfassung fremder Tags lässf sich in vie- 
len Fällen dadurch verhindern, dass die Reichweife von 
Lesegeräfen auf das absoluf nofwendige Maß beschränkt 
wird. Dennoch ausgelesene fremde Speicherdaten können 
über entsprechende Softwarekomponenten erkannt und 
automatisch gelöscht werden. 

Unterschiedliche Verschlüsselungstechniken zur Gewähr- 
leistung ausreichender Datensicherheit stehen ebenfalls 
zur Verfügung. 

Allerdings sind die meisfen fechnischen Lösungen derzeif 
noch vergleichsweise feuer und aufwändig zu insfallieren. 
Dieses Problem würde sich jedoch bei enfsprechender 
Nachfrage enfschärfen. 

IV. Teil 3: Aktuelle Aktivitäten auf nationaler 
und europäischer Ebene 

Der datenschutzrechtliche Rahmen für den Einsafz von 
RFID-Technologie wird derzeit auf nationaler wie euro- 
päischer Ebene diskutiert. 

A. Aktivitäten auf nationaler Ebene 
1. Wirtschaft 

Die deutsche Wirtschaft zeigt im Hinblick auf die ge- 
nannten datenschutzrechtlichen Risiken deutliches Pro- 
blembewusstsein. Kaum eine andere Technologie hat be- 
reits so weit im Vorfeld flächendeckender Anwendung 
ähnlich große Informations- und Diskussionsbereitschaft 
ausgelöst wie RFID. Zu den diesbezüglichen Aktivitäten 
der Wirtschaft zählen Verbraucherinformations-Foren 
ebenso wie die regelmäßige Teilnahme an Arbeitskreisen, 


Workshops und bilateralen Gesprächen (u. a. auch mit 
dem Bundesministerium des Innern und dem Bundes- 
ministerium für Wirtschaft und Technologie). 

Darüber hinaus haben einige Wirtschaftsverbände und 
wirtschaftsnahe Forschungseinrichtungen Empfehlun- 
gen zum Umgang mit der datenschutzrechtlichen Proble- 
matik von RFID erarbeitet (darunter die Internationale 
Handelskammer, die Europäische Experten Gruppe für 
IT-Sicherheif und das US-amerikanische Zentrum für 
Demokratie und Technologie). Derzeit wohl am weitge- 
hendsten sind die Richtlinien von EPCglobal. Danach 
sollen EPC-Lizenznehmer getagte Waren mit einem 
EPC-Logo versehen, den Konsumenten über die allge- 
meine Funktionsweise von RFID einschließlich der be- 
stehenden Deaktivierungsmöglichkeiten aufklären, bei 
der Verarbeitung EPC-spezifischer Daten die geltenden 
Rechtsvorschriften einhalten und an der Weiterentwick- 
lung verbraucherfreundlicher Anwendungsaltemativen 
mitwirken. 

Darüber hinaus ist derzeit eine Selbstverpflichtung des 
deutschen Handels in Vorbereitung, die ähnliche Vorga- 
ben enthalten soll. Verbraucherschutzverbände und Wirt- 
schaftsvertreter haben sich bislang allerdings weder über 
effektive Sanktionsmechanismen noch über die Ausge- 
staltung der Deaktivierungsmöglichkeiten („Opt-in“- 
oder „Opt-out-Modell“) einigen können. Angeboten wur- 
den von Seiten des Handels bisher ein Beirat als Kontroll- 
instanz, Rückgriffsmöglichkeiten im Rahmen des EPC- 
Netzwerks sowie das „Opt-out-Modell“. Die Ablehnung 
von „Opt-in“ wird insbesondere damit begründet, dass 
die Ausgestaltung der handelsspezifischen RFID-Anwen- 
dungen noch nicht konkret feststehe und man daher mit 
möglicherweise kostenintensiven Zugeständnissen vor- 
sichtig sein müsse. Es ist jedoch nahe liegend, dass hinter 
dem Beharren auf „Opt-out“ auch betriebswirtschaftliche 
Überlegungen vermutet werden müssen. Andererseits er- 
möglicht die frühzeitige Vereinbarung eines grundsätzli- 
chen „Opt-in“, dass direkt entsprechende fiächende- 
ckende Lösungen entwickelt werden können. Dies würde 
zugunsten der Unternehmen ggf zu erheblich reduzierten 
Investitionskosten gegenüber einer späteren oder sektora- 
len „Opt-in“ Lösung führen. 

2. Bundesregierung 

Die Bundesregierung beobachfef seif Jahren aufmerksam 
die dafenschufzrelevanfen Enfwicklungen im Bereich 
RFID und sieht mit den betroffenen Kreisen in Wirt- 
schaft, Daten- und Verbraucherschutz in regelmäßigem 
Dialog. 

Zur Erstellung dieses Berichts hat das Bundesministerium 
des Innern (BMI) zahlreiche Einzelgespräche mit den 
führenden Herstellern und Verwendern von RFID sowie 
mit verschiedenen Verbraucherschutzverbänden geführt. 
Zudem hat das BMI dem Bundesamt für Sicherheit in der 
Informationstechnik (BSl) den Auftrag zur Erstellung 
„Technischer Richtlinien für den sicheren RFID-Einsafz“ 
erfeilt. 
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Des Weiteren hat das Bundesministerium für Wirtschaft 
und Technologie (BMWi) anlässlich der deutschen Rats- 
präsidentschaft im Juni 2007 eine internationale Konfe- 
renz zu den technischen und rechtlichen Aspekten von 
RFID veranstaltet, an der Repräsentanten aus Politik, 
Wirtschaft, Wissenschaft, Forschung, Daten- und Ver- 
braucherschutz teilgenommen haben. Die Ergebnisse 
dieser Konferenz sind in einem vom BMWi erstellten 
Positionspapier (European Policy Outlook RFID) festge- 
halten, das zur Frage des Daten- und Verbraucherschutzes 
folgende Empfehlungen enthält: 

- verstärkte Information der Bürger, 

- Identifizierung eines etwaigen Gesetzgebungsbedarfs, 
vorzugsweise jedoch Marktregulierung durch Selbst- 
verpflichtungen der Wirtschaft, 

- Entwicklung eines rechtlichen Rahmens auf EU- 
Ebene. 

Zudem setzt sich die Bundesregierung auch in den ent- 
sprechenden EU-Gremien aktiv für eine datenschufzkon- 
forme Ausgesfaltung von RFID ein. 

B. Aktivitäten auf europäischer Ebene 

Die EU-Kommission hat am 15. März 2007 eine Mittei- 
lung zur Funkfrequenz -kennzeichnung (RFID) in Europa 
vorgelegt [KOM(2007) 96 endg.]. Zielsetzung ist die Ent- 
wicklung eines ordnungspolitischen Rahmens für eine 
breite Einführung von RFID. 

Der Schwerpunkt der genannten Kommissionsmitteilung 
liegt vorwiegend auf den technischen und wirtschaftli- 
chen Aspekten von RFID. Im Hinblick auf datenschutz- 
rechtliche Belange werden die Mitgliedstaaten zur Ergrei- 
füng von Aufklärungs- und Informationskampagnen und 
zur ständigen Beobachtung, Bewertung, Lenkung und 
Regulierung der Technologie aufgefordert. Die Frage 
nach der Notwendigkeit von Leitlinien wird angespro- 
chen, aber im Ergebnis offen gelassen. Bevor weiterge- 
hende Regelungen auf europäischer Eben vorgeschlagen 
werden, soll der Dialog mit relevanten Interessengruppen 
vertieft werden. 

Vor diesem Hintergrund prüft die Kommission derzeit un- 
ter Beteiligung der Artikel-29-Datenschutzgruppe, ob 
und ggf welche zukünftigen gesetzgeberischen Maßnah- 
men zur Einhaltung des Datenschutzes im Zusammen- 
hang mit RFID erforderlich sind. Mit Beschluss vom 
28. Juni 2007 hat sie zudem eine paritätisch besetzte 
RFID-Expertengruppe berufen (2007/467/EG). Diese 
wird 2008 Leitlinien zu Sicherheit und Datenschutz beim 
Einsatz von RFID veröffentlichen. 

Zudem hat im Rahmen der portugiesischen Ratspräsi- 
dentschaft am 15. /16. November 2007 eine weitere euro- 
päische Konferenz zu den aktuellen Entwicklungen im 
RFID-Bereich stattgefunden, an der seitens der Bundesre- 
gierung das BMI teilgenommen hat. ln datenschutzrecht- 
licher Hinsicht waren sich die Teilnehmer weitgehend ei- 
nig, dass eine starre gesetzliche „One size fits all“- 
Regelung den stark diversifizierten und teilweise noch in 
der Testphase befindlichen Anwendungsformen von 


RFID nicht hinreichend Rechnung tragen könne. Viel- 
mehr müssten applikationsspezifische Lösungen gefün- 
den werden - vorzugsweise durch Selbstverpfiichtungen 
der jeweiligen Interessenträger, Sensibilisierung der Be- 
troffenen und die Entwicklung datenschutzfreundlicher 
Techniken. 

V. Teil 4: Handlungsoptionen des 
Gesetzgebers 

Zur Förderung des datenschutzkonformen Einsatzes von 
RFID-Technologie bieten sich im Wesentlichen drei 
Möglichkeiten: 

- eine Änderung des BDSG, 

- die Schaffung einer bereichsspezifischen Regelung 
außerhalb des BDSG (RFID-Datenschutzgesetz) oder 

- die Selbstregulierung des Marktes auf der Grundlage 
effektiver Selbstverpflichtungen der Wirtschaft. 

Ergänzend kommen Aufklärungs- und Informationskam- 
pagnen zur Sensibilisierung der Verbraucher in Betracht. 
Diese könnten ggf gemeinsam mit den betroffenen Wirt- 
schafts- und Verbraucherschutzkreisen durchgeführt wer- 
den. 

A. Änderung des BDSG 

1. Möglicher Inhalt 

Wie bereits dargestellt gelten die Schutzvorschriften des 
BDSG ausschließlich für den Umgang mit personenbezo- 
genen Daten und sind daher auf die RFlD-typische Verar- 
beitung von Daten mit lediglich potentiellem Personenbe- 
zug nicht anwendbar. Ein denkbarer Lösungsansatz wäre 
insofern die Einbeziehung potentiell personenbeziehbarer 
Daten in das Schutzregime des BDSG. Ebenfalls zu dis- 
kutieren wäre - wie der Antrag der Fraktion BÜNDNIS 90/ 
DIE GRÜNEN vom 14. November 2007 (Bundestags- 
drucksache 16/7138) anregt - die Festschreibung von 
Sanktionen für den Fall, dass dafenschutzrelevanfe 
Selbsfverpflichtungen der Wirtschaft nicht eingehalten 
werden. 

2. Bewertung 

Für eine Änderung des BDSG in der einen oder anderen 
Form spricht, dass sie die derzeit bestehende Grauzone 
bei der Datenverarbeitung mit RFID-Systemen beseitigen 
würde. Als gesetzliche Verpflichtung wäre sie zudem ver- 
bindlich und über die etablierten Kontroll- und Sanktions- 
mechanismen des BDSG auch praktisch durchsetzbar. 

Dagegen spricht, dass das BDSG als technikneutrales 
Schutzregime konzipiert ist, und sich in dieser Form be- 
währt hat. Besonderen Risiken einzelner Technologien 
sollte vorzugsweise im Rahmen bereichsspezifischer Ge- 
setze begegnet werden. Bereichsspezifische Regelungen 
lassen individuellere und differenziertere Lösungen zu 
und bergen - im Gegensatz zu einer Änderung des allge- 
mein anwendbaren BDSG - nicht die Gefahr nachteiliger 
Folgen für andere dafenschufzrelevanfe Felder. 
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Insofern ist vorliegend vor allem der Bereieh der georefe- 
renzierten Daten problematiseh. Eine pausehale Einbezie- 
hung potentiell personenbeziehbarer Daten in das BDSG 
würde nämlieh nieht nur für RFID- Systeme sondern mög- 
lieherweise aueh für die Georeferenzierung gehen. Die 
datensehufzreehtliehe Behandlung georeferenzierfer Da- 
ten ist jedoeh ebenso komplex wie umstritten und be- 
dürfte in jedem Falle einer differenzierteren Betraehtung. 

Wollte man eine RFlD-spezifisehe Regelung in das 
BDSG aufnehmen, dürfte diese mithin nur klar abgrenz- 
bare Aspekte regeln. 

Hinzu kommt, dass RFID im datensehutzrelevanten Be- 
reieh bislang keine signifikante Verbreitung gefunden hat. 
Noeh weitgehend offen ist derzeit aueh, ob und in wel- 
eher konkreten Form sieh RFID- Systeme in der Verbrau- 
ehersphäre durehsetzen werden. Entspreehend lässt sieh 
derzeit noeh nieht absehen, welehe gesetzliehe Regelung 
Unternehmen und Verbrauehem auf Dauer am besten ge- 
recht wird. Gleichermaßen offen sind Form, Ziel und In- 
halt der mittelfristig umzusetzenden europäischen Maß- 
nahmen. Eine starre gesetzliche Regelung müsste daher 
möglicherweise in nicht allzu ferner Zukunft wieder revi- 
diert werden. Sie würde wenig zur Rechtssicherheit der 
Betroffenen beitragen, aber umgekehrt von Wirtschaft 
und Forschung als negatives politisches Signal verstan- 
den. Mithin wäre eine Änderung des BDSG zum jetzigen 
Zeitpunkt kaum vorteilhaft für die Verbraucher, aber 
deutlich nachteilig für die intemafionale Konkurrenzfä- 
higkeit deutscher Unternehmen. 

B. Schaffung einer bereichsspezifischen 

Regeiung außerhaib des BDSG 

1. Mögiicher inhait 

ln einer bereichsspezifischen Regelung - etwa in Form 
eines RFlD-Datenschutz-gesetzes - könnten die bereits 
erwähnten präventiven Schutzmaßnahmen (Transparenz, 
Kennzeichnungspflicht, Verzicht auf heimliche Profilbil- 
dung, Datensicherheit, Deaktivierungsmöglichkeiten, Da- 
tensparsamkeit) differenziert und normenklar geregelt so- 
wie durch effektive Durchsetzungsmechanismen ergänzt 
werden. Für den Erlass eines RFID-Gesetzes wäre inner- 
halb der Bundesregierung das Bundesministerium für 
Wirfschaft und Technologie federführend zuständig. 

2. Bewertung 

Mit einer bereichsspezifischen Regelung ließe sich die 
bestehende Grauzone beseitigen, ohne zugleich die Tech- 
nikneutralität des BDSG anzutasten. 

Allerdings hätte ein bereichsspezifisches RFID-Gesetz 
zum gegenwärtigen Zeitpunkt zum Teil dieselben Nach- 
teile wie eine Änderung des BDSG. Hinzu kommt, dass 
differenzierte und zumindest mittelfristig sinnvolle Lö- 
sungen schwierig sind, so lange noch keine hinreichend 
verfestigte Anwendungsstruktur oder zumindest eine hin- 
reichend sichere Zukunftsprognose über die Entwicklung 
einer Technologie vorliegt. Beides ist im Hinblick auf 
RFID (noch) nicht gegeben. Daher wäre zum gegenwärti- 


gen Zeitpunkt eine nachhaltige und ausgewogene Rege- 
lung der RFlD-spezifischen Datenschutzproblematik nur 
schwer zu realisieren. 

C. Selbstverpflichtung der Wirtschaft 

Alternativ könnte der Gesetzgeber dem Markt daher - zu- 
mindest bis sich die datenschutzrelevanten Anwendungs- 
formen von RFID näher konkretisiert haben - eine 
Chance zur Selbstregulierung geben. Als Regulierungs- 
instrumente kämen vor allem Selbstverpflichtungen der 
betroffenen Wirtschaftskreise in Betracht. 

1. Möglicher Inhalt 

Inhaltlich wäre insofern zu fordern, dass diese Selbstver- 
pflichtungen zum einen den oben unter Ziff. 111 C ge- 
nannten Kriterien entsprechen und zum anderen wirk- 
same Sanktionsmechanismen beinhalten. Zudem müsste 
- insbesondere in sensiblen Bereichen - eine Deaktivie- 
rung nach dem Opt-in-Modell gewährleistet sein. Sensi- 
bel erscheinen vor allem Anwendungen auf Trägerobjek- 
ten, die im Falle der Verknüpfung mit einer Person 
mittelbar oder unmittelbar Rückschlüsse auf besondere 
Arten personenbezogener Daten i. S. d. § 3 Abs. 9 BDSG 
zulassen (rassische und ethnische Herkunft, politische, re- 
ligiöse und philosophische Überzeugungen, Gewerk- 
schaftszugehörigkeit, Gesundheit, Sexualleben). Als sen- 
sibel wären zudem solche Trägerobjekte einzustufen, die 
der Betroffene typischerweise über längere Zeit bei sich 
führt. Bei letzteren besteht nämlich - anders als etwa bei 
Produkten, die zügig verbraucht oder überwiegend im 
häuslichen Bereich aufbewahrt werden - eine erhöhte Ge- 
fahr, dass der Betroffene mit ihnen erneut in den Lesege- 
rät eines RFID-Systems gelangt, das geeignet ist, die ge- 
speicherten Daten unbemerkt auszulesen und mit seiner 
Person zu verknüpfen, ln zeitlicher Hinsicht sollten 
Selbstverpflichtungen noch in der Testphase der jeweili- 
gen Anwendung abgeschlossen werden, d. h. bevor der 
Einsatz von RFID auf dem betreffenden Gebiet in regel- 
mäßige Anwendungsstrukturen übergeht, bzw. kritische 
Verbreitung findet. 

2. Bewertung 

Für eine solche Vorgehensweise spricht vor allem die Fle- 
xibilität von Selbstverpflichtungen. Im Gegensatz zu star- 
ren gesetzlichen Regelungen erlauben sie differenziertere 
bereichsspezifische Lösungen, sind offener für neue da- 
tenschufzrelevanfe Entwicklungen und schränken da- 
durch die Wettbewerbsfähigkeit und das Innovations- 
potential der betroffenen Unternehmen weniger ein. 

Die betroffenen Wirtschaftskreise zeigen sich in Bezug 
auf die datenschutzrechtlichen Risiken von RFID auch 
durchaus problembewusst. Keine andere Technologie hat 
bereits so weit im Vorfeld flächendeckender praktischer 
Anwendbarkeit eine vergleichbare Informations- und 
Diskussionsbereitschaft ausgelöst. 

Auf der anderen Seite ist jedoch daraufhinzuweisen, dass 
die bisherigen Selbstverpflichtungsansätze noch in eini- 
gen Punkten hinter den eingangs genannten Mindeststan- 
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dards Zurückbleiben. Weder die Richtlinien von EPCglo- 
bal noch die aktuell diskutierte Selbstverpflichtung des 
Handels sehen effektive Sanktionsmechanismen vor. Zur 
Kernfrage des Opt-in/Opt-out haben Wirtschaft und Ver- 
braucherschutzverbände sich bislang ebenfalls noch nicht 
auf eine Lösung einigen können. Ob eine zeitnahe Selbst- 
regulierung des Marktes gelingt, ist daher gegenwärtig 
völlig offen. 

VI. Teil 5: Empfehlung zur weiteren 
Vorgehensweise 

A. Auf nationaler Ebene 

Es erscheint vorzugswürdig, zumindest zum gegenwärti- 
gen Zeitpunkt auf eine gesetzliche Regelung zu verzich- 
ten und dem Markt zunächst die Chance zur Selbstregu- 
lierung zu lassen. 

Der damit verbundene geringere Grad an Rechtssicher- 
heit ist insofern hinnehmbar, als RFID-Systeme im daten- 
schutzrelevanten Bereich noch keine kritische Verbrei- 
tung gefunden haben und bisher auch noch keine 
Missbrauchsfälle bekannt geworden sind. Die RFlD-ge- 
stützte Verarbeitung personenbezogener Daten wird auch 
mittelfristig kaum über das hinausgehen, was bereits 
heute über Videoüberwachung und die Verknüpfung von 
Barcodes und Kreditkartendaten üblich ist. Entsprechend 
sieht auch der Bundesbeauftragte für den Datenschutz 
und die Informationsfreiheit (BfDl) gesetzgeberischen 
Handlungsbedarf aktuell nur für den Fall, dass die Markt- 
regulierung über effektive Selbstverpflichtungen schei- 
tern sollte (21. Tätigkeitsbericht des BfDl, S. 41 f). 
Hinzu kommt, dass zurzeit der zukünftige europäische 
Rechtsrahmen und die damit verbundenen nationalen 
Umsetzungserfordemisse noch offen sind. 

Eine - zumindest kurz- bis mittelfristige - Zurückhaltung 
des Gesetzgebers ließe der deutschen Wirtschaft dagegen 
die Chance, das Innovations- und Gewinnpotential von 
RFID auch in der nächsten Zeit voll zu nutzen und da- 
durch ihre internationale Vorreiterstellung zu festigen. 

Gleichwohl sollten Bundesregierung und Gesetzgeber die 
Marktentwicklung und insbesondere das Bemühen der 
betroffenen Wirtschaftskreise um eine effektive Selbst- 
verpflichtung weiterhin aufmerksam beobachten. Sollte 
hier in absehbarer Zeit keine Einigung zustande kommen, 
wäre zu prüfen, ob nicht - zumindest für die o. g. sen- 
siblen Bereiche - die Deaktivierung nach dem opt-in-Mo- 
dell - etwa durch eine Änderung des BDSG - gesetzlich 
geregelt werden müsste. 

Im Übrigen ist der gesetzgeberische Handlungsbedarf 
spätestens dann erneut zu prüfen, wenn sich die Anwen- 
dungsstrukturen im Endkundenbereich konkretisieren, 
bzw. RFID in der Verbrauchersphäre einen größeren Ver- 
breitungsgrad erreicht, oder wenn der zukünftige europäi- 
sche Rechtsrahmen absehbar wird. Des weiteren wird 
darauf zu achten sein, ob bei der technischen Weiterent- 
wicklung von RFID die oben genannten präventiven 
Schutzmaßnahmen beachtet werden. Darüber hinaus 
könnte es sich empfehlen, den Verbraucher - etwa durch 


Sensibilisierungskampagnen - vermehrt auf die daten- 
schutzrechtlichen Implikationen von RFID aufmerksam 
zu machen. Anzudenken wären des Weiteren Fördermaß- 
nahmen zur Entwicklung datenschutzfreundlicher Tech- 
nologien. 

B. In Bezug auf die europäische Ebene 

Im Zusammenhang mit der von der Europäischen Kom- 
mission in ihrer auf S. 26 zusammengefassten Mitteilung 
angeregten und eingeleiteten Diskussion zu RFID müssen 
deutsche Interessen insbesondere hinsichtlich der Ausge- 
staltung eines europäischen Rechtsrahmens definiert und 
kommuniziert werden. Dabei sollte das deutsche Inte- 
resse insbesondere auch darin bestehen, dass die Verwal- 
tung, Lenkung, Kontrolle und Normung der im Aufbau 
befindlichen RFlD-lnfrastruktur in Europa gehalten wer- 
den, um so - nicht zuletzt unter datenschutzrechtlichen 
Gesichtspunkten - bestimmenden Einfluss auf deren Aus- 
gestaltung nehmen zu können. 

VII. Zusammenfassung 

RFID ist ein Verfahren zur kontaktlosen Identifizierung 
von Objekten per Funk, bestehend aus zwei Komponen- 
ten: einem elektronischen Mikrochip mit Antenne und ei- 
nem Lesegerät, das die auf dem Chip gespeicherten Daten 
erfasst und in eine Datenbank überträgt. 

RIFD-Technologie bietet großes Potential für Wirtschaft 
und Verbraucher. Auf Seiten der Unternehmen verspricht 
sie vor allem Effizienzsteigerungen im Bereich logisti- 
scher Prozesse. Die Verbraucher profitieren durch verein- 
fachte Zahlungsvorgänge und höhere Produktsicherheit. 
Deutsche Unternehmen sind derzeit als Hersteller und 
Verwender von RFID-Technologie führend in Europa. 

ln Logistik und Prozesskontrolle hat RFID bereits signifi- 
kante Verbreitung gefunden. Im Endkundenbereich 
beschränkt sich die Anwendung von RFID-Systemen da- 
gegen noch weitestgehend auf Pilotprojekte. Ein fiächen- 
deckender Einsatz ist hier aufgrund der hohen Investi- 
tionskosten auch mittelfristig nicht zu erwarten. 

Datenschutzrechtliche Risiken entstehen, wenn RFID zur 
Erhebung, Verarbeitung oder Nutzung personenbeziehba- 
rer Daten eingesetzt wird. Dies ist der Fall, wenn die 
Chipdaten entweder selbst persönlicher Natur sind oder in 
der Hintergrunddatenbank des Systems mit personenbe- 
zogenen Angaben von Verbrauchern verknüpft werden. 

Werden personenbezogene Daten verarbeitet, gelten 
grundsätzlich die umfassenden Datenschutzrechte des 
Betroffenen nach dem BDSG. Die praktische Gewährleis- 
tung dieser datenschutzrechtlichen Vorgaben wird jedoch 
durch die besondere Funktionsweise von RFID er- 
schwert. Denn aufgrund der automatischen und sichtkon- 
taktlosen Art der Datenübertragung vom Chip zum Lese- 
gerät ist oftmals nicht ohne weiteres erkennbar, wann, wo 
und in welchem Umfang ein Personenbezug entsteht. 

Daher müsste das informationeile Selbstbestimmungs- 
recht bei RFlD-gestützter Datenverarbeitung durch prä- 
ventive Schutzmaßnahmen abgesichert werden. Diese 
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Schutzmaßnahmen sollten Transparenz, Datensicherheit, 
den Verzicht auf heimliche Profilbildung, Datensparsam- 
keit sowie - insbesondere für sensible Bereiche - eine 
Deaktivierung nach dem opt-in-Modell gewährleisten 
und unabhängig von einer Personenbeziehbarkeit der ge- 
speicherten Daten bereits dann eingreifen, wenn ein ge- 
tagter Gegenstand in die Verbrauchersphäre gelangt. 

Vor einem möglichen gesetzgeberischen Tätigwerden ist 
aus der Sicht der Bundesregierung jedoch zunächst abzu- 
warten, ob die genannten Anforderungen des Datenschut- 
zes - insbesondere die Frage des opt-in - auch durch eine 
zeitnah abzuschließende Selbstverpflichtung der Wirt- 
schaft gewahrt werden und welche Anwendungen sich im 
Endkundenbereich konkretisieren. 

Allerdings ist eine RFlD-spezifische Änderung des 
BDSG schon deshalb nicht empfehlenswert, weil sich die 
technikneutrale Konzeption dieses Gesetzes stets bewährt 
hat und daher nicht angetastet werden sollte. Wollte man 
dennoch eine solche Änderung in das BDSG aufnehmen, 
wäre daher in jedem Falle zu gewährleisten, dass diese 
technikneutrale Ausgestaltung nicht grundlegend in Frage 
gestellt wird. 

Eine bereichsspezifische Regelung in Form eines eigen- 
ständigen RFID-Gesetzes wäre derzeit ebenfalls nur 
schwer möglich, da die Anwendungsstrukturen von 
RFID-Systemen im Verbraucherbereich noch nicht hin- 
reichend absehbar sind. Ebenso offen sind der zukünftige 
europäische Rechtsrahmen und die damit verbundenen 


nationalen Umsetzungserfordemisse. Allerdings werden 
gerade bei der Entwicklung einer Technologie wichtige 
Weichen gestellt. Daher wären gesetzliche Schritte näher 
zu prüfen, wenn die genannten präventiven Schutzmaß- 
nahmen bei der technologischen Weiterentwicklung von 
RFID nicht ausreichend Berücksichtigung finden sollten. 

Eine nachhaltige und ausgewogene Regelung erscheint 
vor diesem Hintergrund momentan nur schwer zu reali- 
sieren. Zudem ist zu berücksichtigen, dass RFID derzeit 
auf Endkundenebene noch keine signifikante Verbreitung 
gefunden hat. 

Eine starre, rein nationale gesetzliche Regelung würde 
zudem das Innovationspotential und die internationale 
Wettbewerbsfähigkeit deutscher Unternehmen deutlich 
einschränken. 

Gegenwärtig empfiehlt es sich daher, zunächst auf eine 
Selbstregulierung des Marktes in Form effektiver Selbst- 
verpflichtungen der betroffenen Wirtschaftskreise zu set- 
zen und diese gegebenenfalls durch Sensibilisierungs- 
kampagnen und die Förderung datenschutzfreundlicher 
Technologien zu unterstützen. 

Darüber hinaus sollten Bundesregierung und Gesetzgeber 
die Marktentwicklung auch weiterhin aufmerksam be- 
obachten, mit den betroffenen Kreisen im Dialog bleiben 
und den gesetzgeberischen Handlungsbedarf erneut prü- 
fen, wenn sich die datenschutzrelevanten Anwendungen 
von RFID konkretisiert haben. 
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